Trojaner-Board - CBS.log: Manifest Files korrupt

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - CBS.log: Manifest Files korrupt - Reparatur ? (https://www.trojaner-board.de/151056-cbs-log-manifest-files-korrupt-reparatur.html)

CBS.log: Manifest Files korrupt - Reparatur ?

Hallo,

ich habe offenbar einige beschädigte Dateien names Manifest Files, die durch Ihren defekt permanent Meldungen über eine ungültige nlaapi.dll Datei bringen.

Eine Neuinstallation des System möchte ich vermeiden.

Was kann man hier machen?

Zitat:

Zitat von CyberMafiosi (Beitrag 1268033)

Das Problem in der Malwarefraktion posten und auf Hilfe hoffen.

Zitat:

Das Problem in der Malwarefraktion posten und auf Hilfe hoffen.

Und wird wahrscheinlich nicht helfen, da dies nicht malware bezogen sein muss. Die Fehlermeldung der dll Datei wird womöglich verschwinden, die korrupten Manifest Files aber nicht.

Das Malware Problem wurde durch cosinus in diesem Thread

http://www.trojaner-board.de/150086-...ar-defekt.html

schon beseitigt.

Ich poste das auf Empfehlung bewusst hier rein.

Um Dir helfen zu können, brauchen wir mehr Angaben.
Z.B. BS, Updatestand usw.
:glaskugel: haben wir ausrangiert.

win 7 ultimate 64 bit.
updates mache ich regelmäßig, ist auf dem neuesten stand.
was brauchst Du noch für infos

Zitat:

Habe auch wie empfohlen alles geupdated, nur beim IE gabs Probleme, konnte nicht aktualisiert werden.

Das wurde wahrscheinlich durch die kaputten Packages (Manifests, etc.) verursacht.

Zitat:

C:\Program Files (x86)\VideoConverter\VideoConverter.exe a variant of Win32/InstallCore.A potentially unwanted application
C:\Users\XXX\AppData\Local\Chromium\User Data\Default\Cache\f_008138 HTML/ScrInject.B.Gen virus
C:\Users\XXX\AppData\Roaming\Video Converter Packages\uninstaller.exe Win32/InstallCore.AZ potentially unwanted application

Könntest Du selbstständig löschen, wenn Du willst.

-----------

Nun zu Deinem Problem. Du scheinst Probleme mit der nlaapi.dll zu haben. Diese Datei scheint beschädigt zu sein, sei es eine Folge der Infektion oder des Windows Update Problems. Das Warum interessiert uns mal ne Fliege. Was unser Plan ist: Wir werden mit Hilfe eines Tools nach einer Kopie dieser Datei suchen. Die Kopie replacen wir mit der originalen DLL.

Nun zum Problem:
Wir werden nach dieser Datei suchen, falls die Datei laut der MD5 Summe etc. beschädigt sein sollte (oder auch nicht), werde ich einen Malwarehelfer von hier benachrichtigen, dass dieser die korrupte Datei repariert. Wie schon gesagt, darf ich nichts ohne Aufsicht einfach mal so fixen, denn sonst gibt es :aufsmaul: von meinem Teacher.

------

CustomScan mit OTL (ausführlich)

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

Starte bitte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Nichts Button
Kopiere nun den Inhalt aus der folgenden Codebox in die Textbox von OTL:

Code:

/md5start

nlaapi.dll

/md5stop

Schließe alle Programme. (Wichtig)
Klicke auf den Scan Button.
Poste OTL.txt in Deine nächste Antwort.

Die Funde hatte ich gelöscht.

Den Plan mit dem Ersetzen der Datei habe ich mittels copy/paste versucht, aber das system lässt das nicht zu aufgrund der Berechtigungen.
----------------
Okay, gehen wir es Schritt für Schritt an, es pressiert ja nicht.

Wo finde ich die OTL.exe; ist Oldtimer ein User hier ? Link zum Download ?

Zitat:

Den Plan mit dem Ersetzen der Datei habe ich mittels copy/paste versucht, aber das system lässt das nicht zu aufgrund der Berechtigungen.

Ich weiss, die Berechtigungen lassen es nicht zu. Du müsstest erstmal die Permissions nehmen, sie am besten in einem DataBlock speichern, die Datei replacen und zu guter Letzt die Permissions mit Hilfe des Data Blocks wieder herstellen.

-------------

OTl kann man hier downloaden: hxxp://www.trojaner-board.de/redirect-to/?redirect=http%3A%2F%2Foldtimer.geekstogo.com%2FOTL.exe

Hier die Log, pc name habe ich zensiert.

Code:

OTL logfile created on: 14.03.2014 22:03:40 - Run 1

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\XXX\Desktop

64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Internet Explorer (Version = 9.10.9200.16736)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

8,00 Gb Total Physical Memory | 5,14 Gb Available Physical Memory | 64,31% Memory free

15,99 Gb Paging File | 13,37 Gb Available in Paging File | 83,61% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)

Drive C: | 74,52 Gb Total Space | 0,60 Gb Free Space | 0,81% Space Free | Partition Type: NTFS

Drive D: | 48,83 Gb Total Space | 26,32 Gb Free Space | 53,89% Space Free | Partition Type: NTFS

Drive E: | 29,29 Gb Total Space | 6,61 Gb Free Space | 22,56% Space Free | Partition Type: NTFS

Drive F: | 100,21 Gb Total Space | 27,58 Gb Free Space | 27,52% Space Free | Partition Type: NTFS

Drive G: | 59,57 Gb Total Space | 32,52 Gb Free Space | 54,59% Space Free | Partition Type: NTFS

Drive H: | 60,18 Gb Total Space | 17,91 Gb Free Space | 29,77% Space Free | Partition Type: NTFS

Drive K: | 486,05 Mb Total Space | 28,41 Mb Free Space | 5,84% Space Free | Partition Type: FAT

 

Computer Name: XXX-PC | User Name: XXX | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

 
 ========== Custom Scans ==========

 
 < MD5 for: NLAAPI.DLL  >

[2010.11.20 04:20:32 | 000,052,224 | ---- | M] (Microsoft Corporation) MD5=104A1070E90F1C530328E69B49718841 -- C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.17514_none_d000a58855ea91a1\nlaapi.dll

[2010.11.20 05:27:24 | 000,070,656 | ---- | M] (Microsoft Corporation) MD5=2DF36F15B2BC1571A6A542A3C2107920 -- C:\Windows\winsxs\amd64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.17514_none_c5abfb362189cfa6\nlaapi.dll

[2012.10.03 18:44:21 | 000,070,656 | ---- | M] (Microsoft Corporation) MD5=46BB91A169B9B31FF44EB04C48EC1D41 -- C:\Windows\SysNative\nlaapi.dll

[2012.10.03 18:44:21 | 000,070,656 | ---- | M] (Microsoft Corporation) MD5=46BB91A169B9B31FF44EB04C48EC1D41 -- C:\Windows\winsxs\amd64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.17964_none_c575f33221b24ff7\nlaapi.dll

[2012.01.13 08:12:03 | 000,052,224 | ---- | M] () MD5=4FB4A08FD377BDB92B560A2F300867F9 -- C:\Windows\SysWOW64\nlaapi.dll

[2012.01.13 08:12:03 | 000,052,224 | ---- | M] () MD5=4FB4A08FD377BDB92B560A2F300867F9 -- C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.17964_none_cfca9d84561311f2\nlaapi.dll

[2012.10.03 17:29:27 | 000,052,224 | ---- | M] () MD5=9ADC8873139596D9BA6FB154A940F359 -- C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.22124_none_d07f52216f10753a\nlaapi.dll

[2012.10.03 18:32:48 | 000,070,656 | ---- | M] (Microsoft Corporation) MD5=C98BCE54F31113D5E736C1097FD086DC -- C:\Windows\winsxs\amd64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.22124_none_c62aa7cf3aafb33f\nlaapi.dll
 

< End of report >

OK ich sehe das Problem. Habe Geduld, ein Malwarestaff wird sich demnächst melden.

Ich kann Dir nun doch helfen.

SFCFix Script

Warnung! Dieser Fix wurde nur für dieses System entwickelt. Diesen Fixscript auf anderen PC's zu benutzen ist gefährlich!

Downloade Dir SFCFix.exe von hier: hxxp://www.sysnative.com/niemiro/apps/SFCFix.exe und speichere es auf Deinem Desktop
Downloade den Anhang SFCFix.zip und speichere es auch auf Deinem Desktop
Speichere Deine Arbeiten ab und schließe alle Fenster, die Du zur Zeit offen hast
Auf Deinem Desktop solltest Du zwei Dateien sehen: SFCFix.exe und SFCFix.zip
Bewege SFCFix.zip in die SFCFix.exe (SFCFix.zip markieren und in die SFCFix.exe "bewegen") - ein Konsolenfenster öffnet sich
Wenn es fertig ist, wird es eine Logdatei erstellen: SFCFix.txt (diese befindet sich auf dem Desktop)
Poste dieses Logfile hier

Export COMPONENTS Hive

Downloade Dir Regback von hier: hxxp://www.softpedia.com/dyn-postdownload.php?p=134303&t=4&i=1 und speichere es auf Deinem Desktop
Extrahiere alle Dateien auf Deinem Desktop
Rechtsklick auf regbak64.exe und wähle aus: Als Admin starten
Ein Fenster öffnet sich. Ohne irgendwas zu verstellen klicke auf Weiter, dann wird eine Meldung kommen , klicke auf Ja, dann auf Start.
Navigiere zu C:\Windows\RegBak\{Date}\ und kopiere die COMPONENTS Datei zu Deinem Desktop (Datei hat keine Extension!) (Falls diese nicht vorhanden ist, dann lade diese Datei hoch: :\Windows\System32\config\COMPONENTS - COMPONENTS ist dabei eine Datei)
Bitte uploade diese Datei auf einem FileHoster, z.B.

Microsoft Skydrive
Dropbox
SendSpace (or any other file-sharing site of your preference)

SFC script:

Code:

SFCFix version 2.1.4.0 by niemiro.

Start time: 2014-03-16 13:06:09.692

Using .zip script file at C:\Users\XXX\Desktop\SFCFix.zip
 
 
 
 

PowerCopy::

Successfully took permissions for file or folder C:\Windows\SysWOW64\nlaapi.dll

Successfully took permissions for file or folder C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.22124_none_d07f52216f10753a\nlaapi.dll

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16635_none_1685cb2c1e410163.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16660_none_16893df21e3dcd43.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.16721_none_7faced3a1256e78b.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\amd64_microsoft-windows-scripting-jscript_31bf3856ad364e35_10.2.9200.16635_none_00af5769679f909c.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\wow64_microsoft-windows-ie-offlinefavorites_31bf3856ad364e35_10.2.9200.16521_none_e95a26def68df053.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.20768_none_0cc40cca739deecd.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-extcompat_31bf3856ad364e35_10.2.9200.16736_none_5e55989d8ec00405.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-jsprofilercore_31bf3856ad364e35_10.2.9200.16521_none_2c629a7fe9756783.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-pdm-configuration_31bf3856ad364e35_10.2.9200.20794_none_5b2d63e9e833e611.manifest

Successfully took permissions for file or folder C:\Windows\winsxs\Manifests\x86_microsoft.vc90.openmp_1fc8b3b9a1e18e3b_9.0.30729.4148_none_80b7c8a91e9dd16a.manifest
 

Line blocked (SFCFix.txt): "C:\Users\XXX\AppData\Local\niemiro\Archive\SFCFix.txt" C:\Windows\winsxs\Manifests\SFCFix.txt.

Successfully copied file C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.17514_none_d000a58855ea91a1\nlaapi.dll to C:\Windows\SysWOW64\nlaapi.dll.

Successfully copied file C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.17514_none_d000a58855ea91a1\nlaapi.dll to C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.17964_none_cfca9d84561311f2\nlaapi.dll.

Successfully copied file C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.17514_none_d000a58855ea91a1\nlaapi.dll to C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.22124_none_d07f52216f10753a\nlaapi.dll.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16635_none_1685cb2c1e410163.manifest to C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16635_none_1685cb2c1e410163.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16660_none_16893df21e3dcd43.manifest to C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16660_none_16893df21e3dcd43.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.16721_none_7faced3a1256e78b.manifest to C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.16721_none_7faced3a1256e78b.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\amd64_microsoft-windows-scripting-jscript_31bf3856ad364e35_10.2.9200.16635_none_00af5769679f909c.manifest to C:\Windows\winsxs\Manifests\amd64_microsoft-windows-scripting-jscript_31bf3856ad364e35_10.2.9200.16635_none_00af5769679f909c.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\wow64_microsoft-windows-ie-offlinefavorites_31bf3856ad364e35_10.2.9200.16521_none_e95a26def68df053.manifest to C:\Windows\winsxs\Manifests\wow64_microsoft-windows-ie-offlinefavorites_31bf3856ad364e35_10.2.9200.16521_none_e95a26def68df053.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.20768_none_0cc40cca739deecd.manifest to C:\Windows\winsxs\Manifests\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.20768_none_0cc40cca739deecd.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\x86_microsoft-windows-ie-extcompat_31bf3856ad364e35_10.2.9200.16736_none_5e55989d8ec00405.manifest to C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-extcompat_31bf3856ad364e35_10.2.9200.16736_none_5e55989d8ec00405.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\x86_microsoft-windows-ie-jsprofilercore_31bf3856ad364e35_10.2.9200.16521_none_2c629a7fe9756783.manifest to C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-jsprofilercore_31bf3856ad364e35_10.2.9200.16521_none_2c629a7fe9756783.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\x86_microsoft-windows-ie-pdm-configuration_31bf3856ad364e35_10.2.9200.20794_none_5b2d63e9e833e611.manifest to C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-pdm-configuration_31bf3856ad364e35_10.2.9200.20794_none_5b2d63e9e833e611.manifest.

Successfully copied file C:\Users\XXX\AppData\Local\niemiro\Archive\x86_microsoft.vc90.openmp_1fc8b3b9a1e18e3b_9.0.30729.4148_none_80b7c8a91e9dd16a.manifest to C:\Windows\winsxs\Manifests\x86_microsoft.vc90.openmp_1fc8b3b9a1e18e3b_9.0.30729.4148_none_80b7c8a91e9dd16a.manifest.
 

Successfully restored ownership for C:\Windows\SysWOW64\nlaapi.dll

Successfully restored permissions on C:\Windows\SysWOW64\nlaapi.dll

Successfully restored ownership for C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.22124_none_d07f52216f10753a\nlaapi.dll

Successfully restored permissions on C:\Windows\winsxs\wow64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.22124_none_d07f52216f10753a\nlaapi.dll

Successfully restored ownership for C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16635_none_1685cb2c1e410163.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16635_none_1685cb2c1e410163.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16660_none_16893df21e3dcd43.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_10.2.9200.16660_none_16893df21e3dcd43.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.16721_none_7faced3a1256e78b.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.16721_none_7faced3a1256e78b.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\amd64_microsoft-windows-scripting-jscript_31bf3856ad364e35_10.2.9200.16635_none_00af5769679f909c.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\amd64_microsoft-windows-scripting-jscript_31bf3856ad364e35_10.2.9200.16635_none_00af5769679f909c.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\wow64_microsoft-windows-ie-offlinefavorites_31bf3856ad364e35_10.2.9200.16521_none_e95a26def68df053.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\wow64_microsoft-windows-ie-offlinefavorites_31bf3856ad364e35_10.2.9200.16521_none_e95a26def68df053.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.20768_none_0cc40cca739deecd.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_10.2.9200.20768_none_0cc40cca739deecd.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-extcompat_31bf3856ad364e35_10.2.9200.16736_none_5e55989d8ec00405.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-extcompat_31bf3856ad364e35_10.2.9200.16736_none_5e55989d8ec00405.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-jsprofilercore_31bf3856ad364e35_10.2.9200.16521_none_2c629a7fe9756783.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-jsprofilercore_31bf3856ad364e35_10.2.9200.16521_none_2c629a7fe9756783.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-pdm-configuration_31bf3856ad364e35_10.2.9200.20794_none_5b2d63e9e833e611.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\x86_microsoft-windows-ie-pdm-configuration_31bf3856ad364e35_10.2.9200.20794_none_5b2d63e9e833e611.manifest

Successfully restored ownership for C:\Windows\winsxs\Manifests\x86_microsoft.vc90.openmp_1fc8b3b9a1e18e3b_9.0.30729.4148_none_80b7c8a91e9dd16a.manifest

Successfully restored permissions on C:\Windows\winsxs\Manifests\x86_microsoft.vc90.openmp_1fc8b3b9a1e18e3b_9.0.30729.4148_none_80b7c8a91e9dd16a.manifest

PowerCopy:: directive completed successfully.
 
 
 
 

Successfully processed all directives.

SFCFix version 2.1.4.0 by niemiro has completed.

Currently storing 12 datablocks.

Finish time: 2014-03-16 13:06:10.553

----------------------EOF-----------------------

Components:

hxxp://www.sendspace.com/file/btalt3

Wie gehts weiter ?

Zitat:

Wie gehts weiter ?

Mal sehen. Habe etwas Geduld. Gibt es noch irgendwelche Fehlermeldungen?

Okay.
Nein, die Meldungen treten nicht mehr auf.
Aber Du meintest oben bereits, das dadurch das eigentliche Problem nicht wirklich gelöst ist, richtig?

Die Manifest Files wurden so gut wie gefixt, es fehlen nur noch 2, und ich versuche eine "saubere" Kopie davon (ich meine eine saubere Kopie der zwei Manifest Dateien) zu kriegen. Das Problem ist, dass der Component hive keinen Aufschluss gibt, woher diese Manifest Files kommen. Wenn wir diese zwei Files gefixt haben (wenn das möglich ist), sind wir fertig. Aber ich würde zum Abschluss gerne einen OTL Scan sehen. Anweisungen gibt es später.

In Ordnung.

moin,

zu Deiner Frage von gestern, ob noch weitere Meldungen auftauchen:
Es ist nichts dramatisches aber es kommen auch regelmäßig folgende Meldungen des Microsoft .NET Framework. Nach Recherche hieß es, dass ich da nix machen kann; es sei ein Softwarefehler der per Update beseitigt werden müsse.

Hier nun die Meldung:

Microsoft .NET Framework
Unbehandelte Ausnahme ind er Anwendung. Klicken Sie auf "Weiter". um den Fehler zu ignorieren und die Anwendung fortzusetzen. Wenn Sie auf Beenden klicken, wird die Anwendung sofort beendet.
Der Versionszeichenfolgeteil war entweder zu kurz oder zu lang.

Details:

Code:

Informationen über das Aufrufen von JIT-Debuggen

anstelle dieses Dialogfelds finden Sie am Ende dieser Meldung.
 

************** Ausnahmetext **************

System.ArgumentException: Der Versionszeichenfolgeteil war entweder zu kurz oder zu lang.

   bei System.Version..ctor(String version)

   bei FILSHtray.Program.checkForUpdates(Object sender, EventArgs e)

   bei System.Windows.Forms.Timer.OnTick(EventArgs e)

   bei System.Windows.Forms.Timer.TimerNativeWindow.WndProc(Message& m)

   bei System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)
 
 

************** Geladene Assemblys **************

mscorlib

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5477 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll.

----------------------------------------

FILSHtray

    Assembly-Version: 0.1.0.0.

    Win32-Version: 0.1.0.0.

    CodeBase: file:///C:/Program%20Files%20(x86)/FILSHtray/FILSHtray.exe.

----------------------------------------

System.Windows.Forms

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5468 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll.

----------------------------------------

System

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5467 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll.

----------------------------------------

System.Drawing

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5467 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll.

----------------------------------------

System.Configuration

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5476 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Configuration/2.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll.

----------------------------------------

System.Xml

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5476 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll.

----------------------------------------

FILSHtray.resources

    Assembly-Version: 0.1.0.0.

    Win32-Version: 0.1.0.0.

    CodeBase: file:///C:/Program%20Files%20(x86)/FILSHtray/de-DE/FILSHtray.resources.DLL.

----------------------------------------

mscorlib.resources

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5477 (Win7SP1GDR.050727-5400).

    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll.

----------------------------------------

System.resources

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5420 (Win7SP1.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.resources/2.0.0.0_de_b77a5c561934e089/System.resources.dll.

----------------------------------------

System.Windows.Forms.resources

    Assembly-Version: 2.0.0.0.

    Win32-Version: 2.0.50727.5420 (Win7SP1.050727-5400).

    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms.resources/2.0.0.0_de_b77a5c561934e089/System.Windows.Forms.resources.dll.

----------------------------------------
 

************** JIT-Debuggen **************

Um das JIT-Debuggen (Just-In-Time) zu aktivieren, muss in der

Konfigurationsdatei der Anwendung oder des Computers

(machine.config) der jitDebugging-Wert im Abschnitt system.windows.forms festgelegt werden.

Die Anwendung muss mit aktiviertem Debuggen kompiliert werden.
 

Zum Beispiel:
 

<configuration>

    <system.windows.forms jitDebugging="true" />

</configuration>
 

Wenn das JIT-Debuggen aktiviert ist, werden alle nicht behandelten

Ausnahmen an den JIT-Debugger gesendet, der auf dem

Computer registriert ist, und nicht in diesem Dialogfeld behandelt.

OK, aufgrund der 2 korrupten Manifest Files, die unauffindbar sind, und weil Du einen hartnäckigen RootKit hattest, rate ich Dir dringend zur Neuinstallation. Um es zu konkretisieren, Du könntest Fehlermeldungen bei zukünftigen Updates bekommen.

Falls Du Dich gegen eine Neuinstallation entscheidest, würde ich noch gerne ein OTL Log sehen.

------

CustomScan mit OTL (ausführlich)

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

Starte bitte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Scanne alle User anhaken
Stelle alle Unterpunkte ein, wie auf folgenden Bild zu sehen:

http://forum.botfrei.de/petra/otl_custom4.jpg
Kopiere nun den Inhalt aus der folgenden Codebox in die Textbox von OTL:

Code:

BASESERVICES

%SYSTEMDRIVE%\*.exe

/md5start

services.*

explorer.exe

winlogon.exe

Userinit.exe

svchost.exe

qmgr.dll

mpsvc.dll  

winsock.*

/md5stop

dir "%systemdrive%\*" /S /A:L /C

CREATERESTOREPOINT

Schließe alle Programme. (Wichtig)
Klicke auf den Scan Button.
Füge die Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Ich kann die beiden Dateien nicht wie angefordert in den Anhang laden, da die maximale Dateigröße für den Typ überschritten ist.

Habe es als zip angehängt

Ein Thema im Virenforum eröffnen, ein Service ist noch korrupt (slsvc). Sag dem Helfer dann, dass Du hier geholfen wurdest (verweise ihn auf den Thread hier) und sag ihm, der Service namens slsvc ist korrupt. Er muss diesen fixen. Dazu gibt es einige fragwürdige Entries wie PokerStars etc.

Hab ich soeben gemacht.
PokerStars ist ein Online-Pokerraum, relativ bekannt bzw. groß.

OK ich werde dann mal doch helfen müssen. Wir werden hier nur den Service fixen, keine Malware.

Downloade Dir das: hxxp://download.bleepingcomputer.com/win-services/vista/slsvc.reg und speichere es auf Deinen Desktop. Führe es aus.

Danach mache das:

Please download Farbar Service Scanner and run it on the computer with the issue. (if you have Windows Vista / Windows 7 / Windows 8: Please do a Right click on the FSS icon and select Run as Administrator)

Make sure the following options are checked:
- Internet Services
- Windows Firewall
- System Restore
- Security Center
- Windows Update
Press "Scan".
It will create a log (FSS.txt) in the same directory the tool is run.
Please copy and paste the log to your reply.

Sorry, Link zum Farbar Service Scanner: hxxp://download.bleepingcomputer.com/farbar/FSS.exe

Code:

Farbar Service Scanner Version: 25-02-2014

Ran by \XXX (administrator) on 21-03-2014 at 17:18:13

Running from "C:\Users\XXX \Desktop"

Microsoft Windows 7 Ultimate  Service Pack 1 (X64)

Boot Mode: Normal

****************************************************************
 

Internet Services:

============
 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Google.com is accessible.

Yahoo.com is accessible.
 
 

Windows Firewall:

=============
 

Firewall Disabled Policy: 

==================
 
 

System Restore:

============
 

System Restore Disabled Policy: 

========================
 
 

Action Center:

============
 
 

Windows Update:

============
 

Windows Autoupdate Disabled Policy: 

============================
 
 

Other Services:

==============
 
 

File Check:

========

C:\Windows\System32\nsisvc.dll => MD5 is legit

C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit

C:\Windows\System32\dhcpcore.dll => MD5 is legit

C:\Windows\System32\drivers\afd.sys => MD5 is legit

C:\Windows\System32\drivers\tdx.sys => MD5 is legit

C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit

C:\Windows\System32\dnsrslvr.dll => MD5 is legit

C:\Windows\System32\mpssvc.dll => MD5 is legit

C:\Windows\System32\bfe.dll => MD5 is legit

C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit

C:\Windows\System32\SDRSVC.dll => MD5 is legit

C:\Windows\System32\vssvc.exe => MD5 is legit

C:\Windows\System32\wscsvc.dll => MD5 is legit

C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\System32\wuaueng.dll => MD5 is legit

C:\Windows\System32\qmgr.dll => MD5 is legit

C:\Windows\System32\es.dll => MD5 is legit

C:\Windows\System32\cryptsvc.dll => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit
 
 

**** End of log ****

Du bist entlassen. :)

das heisst ?! alles paletti ?

Laut Farbar Service Scanner ja.

Okay, dann glauben wir dem einfach mal - special thanx! :)